লেজার, ক্রিপ্টোকারেন্সি ওয়ালেট সরবরাহকারী, রিপোর্ট করেছে এর ব্যবহারকারীদের জন্য একটি উল্লেখযোগ্য ক্ষতি। একজন প্রাক্তন কর্মচারীর উপর ফিশিং আক্রমণের মাধ্যমে অপরাধীরা লেজার কানেক্ট কিটের একটি দূষিত সংস্করণ বিতরণ করেছে। এই কিটটি একটি গুরুত্বপূর্ণ জাভাস্ক্রিপ্ট লাইব্রেরি যা লেজার ক্রিপ্টো ওয়ালেটগুলিকে তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলির সাথে লিঙ্ক করে, যা ওয়ালেট-সংযুক্ত ওয়েবসাইট হিসাবেও পরিচিত৷
গতকাল, একজন প্রাক্তন লেজার কর্মচারী ফিশিং আক্রমণের শিকার হন, যার ফলে হ্যাকাররা তার NPMJS অ্যাকাউন্টে অ্যাক্সেস লাভ করে। NPMJS হল জাভাস্ক্রিপ্ট এনভায়রনমেন্ট Node.js-এর জন্য একটি কেন্দ্রীয় প্যাকেজ ম্যানেজার, যা বিশ্বের বৃহত্তম সফ্টওয়্যার সংগ্রহস্থল বলে দাবি করে। এটি সর্বজনীন, ব্যক্তিগত এবং বাণিজ্যিক প্যাকেজের একটি বিশাল সংরক্ষণাগার হোস্ট করে।
প্রাক্তন কর্মচারীর অ্যাকাউন্ট অ্যাক্সেস করার পরে, আক্রমণকারীরা লেজার কানেক্ট কিটের একটি সংক্রামিত সংস্করণ ছড়িয়ে দেয়। এই আপস করা সংস্করণটি লেজার ব্যবহারকারীদের থেকে আক্রমণকারীদের ওয়ালেটে তহবিল সরানোর জন্য একটি দুর্বৃত্ত WalletConnect প্রকল্প ব্যবহার করেছে৷ দূষিত কোডটি প্রায় পাঁচ ঘন্টা সক্রিয় ছিল, দুই ঘন্টারও বেশি সময় ধরে ক্রিপ্টোকারেন্সি চুরির ঘটনা ঘটেছে। ক্রিপ্টো-গবেষক ZachXBT ক্ষতি অনুমান করে $600,000 এর বেশি হতে হবে। লেজার ক্ষতিগ্রস্থদের তাদের তহবিল পুনরুদ্ধারে সহায়তা করার জন্য প্রতিশ্রুতিবদ্ধ হয়েছে এবং নিশ্চিত করেছে যে আক্রমণটি লেজার কানেক্ট কিট ব্যবহার করে তৃতীয় পক্ষের অ্যাপগুলিতে সীমাবদ্ধ ছিল।
লেজার দাবি করে যে একজন প্রাক্তন কর্মচারীর পক্ষে দূষিত সফ্টওয়্যার সংস্করণ বিতরণ করা সাধারণত অসম্ভব। নতুন সংস্করণ প্রকাশের আগে একাধিক পক্ষের দ্বারা পর্যালোচনা করার কথা। অতিরিক্তভাবে, কোম্পানি ছেড়ে যাওয়া কর্মচারীদের লেজার সিস্টেমে অ্যাক্সেস হারাতে হবে। যাইহোক, লেজার ব্যাখ্যা করেনি কেন এই প্রোটোকলগুলি ব্যর্থ হয়েছিল, এটিকে 'বিচ্ছিন্ন ঘটনা' হিসাবে বর্ণনা করে। তারা তখন থেকে লেজার কানেক্ট কিটের একটি পরিষ্কার সংস্করণ তৈরি করেছে এবং লেজারের গিটহাবের মাধ্যমে কোড বিতরণের জন্য 'সিক্রেটস' আপডেট করেছে।